Depois de Windows, ransomware explora vulnerabilidades de Linux

Mais de 3,4 mil sites e cerca de 150 servidores foram tirados do ar por um ransomware que atacou uma empresa de hospedagem de sites na Coreia do Sul, a Nayana Internet. Batizado de Erebus, o malware foi originalmente criado para Windows, mas recebeu modificações para funcionar no Linux. O ataque aconteceu no dia 12 de junho e, depois de negociações, o resgate ficou combinado em 1,2 bilhão de wons (R$ 3,5 milhões).

Segundo a Trend Micro, a praga se aproveitou de algum exploit no kernel, no Apache ou no PHP, desatualizados na Nayana desde 2006. O ransomware criptografa os dados do servidor e cria um arquivo chamado _DECRYPT_FILE.txt com as instruções de recuperação e um código de identificação da máquina sequestrada. Aparentemente, a variante do Erebus foi pensada para servidores web.

O ransomware teve como foco usuários na Coréia do Sul e criptografou documentos de escritório, bancos de dados, arquivos e arquivos multimídia usando o algoritmo RSA-2048 e, em seguida, anexando a eles uma extensão .ecrypt antes de exibir a nota de resgate.

Ataques de ransomware têm se massificado e ficado mais frequente. Em maio, o WannaCrypt atingiu empresas em vários locais do mundo, inclusive Brasil. Por conta dos prejuízos, já que o malware explorou vulnerabilidades do sistema operacional da Microsoft, a empresa decidiu liberar atualizações para versões antigas do Windows. Segundo especialistas, ataques de ransomware já lucraram US$ 1 bilhão somente em 2016.